銀行核心路由器建設(shè)方案

1、銀行核心路由器建設(shè)方案匯報(bào)提綱1. 公司情況簡(jiǎn)介；2 .投標(biāo)選型設(shè)備方案介紹3. 答疑； 數(shù)據(jù)中心作為主中心啟用之后，所有業(yè)務(wù)系統(tǒng)將在中心運(yùn)行，在做骨干網(wǎng)設(shè)計(jì)時(shí)，首先考慮的是數(shù)據(jù)中心、分行再到支行整體網(wǎng)絡(luò)結(jié)構(gòu)的層次化，目前國(guó)內(nèi)銀行骨干網(wǎng)都延續(xù)采用數(shù)據(jù)中心、省市分行、支行、網(wǎng)點(diǎn)等多級(jí)架構(gòu)，因此在新中心落地使用之后，我們將采用標(biāo)準(zhǔn)化的分層骨干網(wǎng)結(jié)構(gòu)： 如上示意圖，中心骨干網(wǎng)路由器采用兩臺(tái)ASR1002-X，一共配置2塊8口千兆業(yè)務(wù)板卡（配置8個(gè)千兆電口模塊，8個(gè)千兆光口模塊），16個(gè)路由端口通過(guò)子端口劃分，用于做5個(gè)地市分行的MSTP線路匯聚。 同時(shí)，ASR1002-X未來(lái)仍具備2個(gè)擴(kuò)展槽位，可以

2、通過(guò)添加SPA業(yè)務(wù)板卡的形式進(jìn)行骨干網(wǎng)連接擴(kuò)容。骨干網(wǎng)層次化建設(shè)之后，主要優(yōu)勢(shì)在于：管理邊界清晰線路資費(fèi)合理層次化設(shè)計(jì)將故障域、安全域分離便于變更管理具備良好的擴(kuò)容能力，滿足未來(lái)5年左右業(yè)務(wù)發(fā)展需求IOS XE(Linux Kernel)IOSActiveIOSStandby 分行外聯(lián)采用3925路由器，負(fù)責(zé)分行上聯(lián)至數(shù)據(jù)中心以及下屬支行上聯(lián)至分行的骨干網(wǎng)互聯(lián)需求。從管理角度來(lái)說(shuō)，分行負(fù)責(zé)管理下屬支行的日常運(yùn)行維護(hù)和故障處理。由于一般分行的匯聚路由器都安裝在一個(gè)機(jī)房，這種模式下網(wǎng)點(diǎn)層面沒(méi)有災(zāi)備，一旦分行路由器或鏈路故障,下轄所屬的網(wǎng)點(diǎn)將停止運(yùn)業(yè)，網(wǎng)點(diǎn)到分行屬于市內(nèi)或省內(nèi)傳輸，從營(yíng)運(yùn)商的標(biāo)準(zhǔn)資費(fèi)

3、來(lái)看, 成本較低。此次平頂山銀行網(wǎng)絡(luò)從成熟度及可靠性將采用這樣的層次化設(shè)計(jì)。 每臺(tái)3925路由器配置安全license，滿足行內(nèi)對(duì)業(yè)務(wù)流量加密傳輸?shù)男枨?；并配?4個(gè)千兆POE+交換板卡，交換板卡配置IP BASE license，提供入門(mén)級(jí)3層，完整2層、安全、QoS特性，可作為分行內(nèi)部網(wǎng)路設(shè)備互聯(lián)、POE攝像頭、IP電話接入等功能靈活使用。且3925路由器支持8個(gè)擴(kuò)展插槽，包含3個(gè)EHWIC，3個(gè)DSP，2個(gè)SM插槽，具備良好的物理接口擴(kuò)展能力，滿足未來(lái)幾年分行的業(yè)務(wù)發(fā)展需求。一期廣域網(wǎng)架構(gòu)P 6 數(shù)據(jù)中心啟用，并將現(xiàn)有分行與平頂山中心的互聯(lián)方式進(jìn)行徹底改造，分行使用上聯(lián)路由器的方式與數(shù)據(jù)

4、中心間采用三層動(dòng)態(tài)路由方式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)分行出現(xiàn)問(wèn)題僅影響自身，不會(huì)對(duì)全網(wǎng)造成影響的安全方式。P 7二期廣域網(wǎng)主備架構(gòu)建設(shè)同城災(zāi)備中心，改造分行與支行間互聯(lián)方式，將分行上聯(lián)線路分別接入數(shù)據(jù)中心和同城災(zāi)備中心，同城中心之間用DWDM設(shè)備互聯(lián)，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的完全備份，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)備份，從而實(shí)現(xiàn)異地災(zāi)備的容災(zāi)模式，初步符合四級(jí)容災(zāi)標(biāo)準(zhǔn)。推薦雙活業(yè)務(wù)：網(wǎng)銀、綜合前置Cisco Unified Access (UA)Connected Mobile Experiences (CMX)Cisco Intelligent WAN (IWAN)Voice/Video and Compute/St

5、orageCloudUSERSData CentersLANWAN更好的應(yīng)用體驗(yàn)簡(jiǎn)化運(yùn)維控制成本BranchCisco ONEonePK, 3rd Party Management, Programmability下一代企業(yè)網(wǎng)絡(luò)架構(gòu)應(yīng)用體驗(yàn),應(yīng)用安全：用戶最關(guān)注的問(wèn)題 提供最佳的多服務(wù)平臺(tái)，讓用戶能從任何地方順暢的使用應(yīng)用服務(wù) 應(yīng)用層級(jí)的可視化、可控化、優(yōu)化和安全性 讓?xiě)?yīng)用也能做到網(wǎng)絡(luò)感知,并提供端到端的應(yīng)用服務(wù)保障分支機(jī)構(gòu)以應(yīng)用為中心的網(wǎng)絡(luò)數(shù)據(jù)中心視頻語(yǔ)音關(guān)鍵生產(chǎn)應(yīng)用辦公應(yīng)用互聯(lián)網(wǎng)業(yè)務(wù)其它流量下一代企業(yè)智能廣域網(wǎng)絡(luò)的能力面向云資源調(diào)度平臺(tái)廣域網(wǎng)企業(yè)廣域網(wǎng)架構(gòu)的轉(zhuǎn)變和需求應(yīng)用部署正在改變應(yīng)用集

6、中和正在向數(shù)據(jù)中心和云端移動(dòng)網(wǎng)絡(luò)邊緣正在向分支移動(dòng)分支云50云端預(yù)計(jì)到2015年CIOs的50%將會(huì)通過(guò)云端操作%遷移率2015年將有更多的移動(dòng)數(shù)據(jù)流量大型應(yīng)用將有2/3的移動(dòng)流量是視頻6X2/3 WAN上的壓力業(yè)務(wù)敏捷性,簡(jiǎn)單與可視化管理 數(shù)據(jù)中心高可用和高可靠HA設(shè)計(jì)、單引擎軟件HA、全業(yè)務(wù)接口 云計(jì)算智能資源調(diào)度OTV&LISP&PFR CSR應(yīng)用可視化感知和監(jiān)控能力-AVC(FlexNeflow,NBAR/DPI,PFR)多業(yè)務(wù)并發(fā)的處理能力-256線程QFP技術(shù)多業(yè)務(wù)集成能力- FW,VPN,SBC 作為路由器之鼻祖，2008年推出了新一代企業(yè)骨干網(wǎng)路由器 ASR系列，ASR路由器在

7、08年5月發(fā)布到今天，已經(jīng)實(shí)現(xiàn) $5 Billion 驕人業(yè)績(jī)，超過(guò)15,000+臺(tái)和20,000+ 全球客戶采用,2600+服務(wù)FeaturesISR G2 ISR4000CSR1000VASR1000企業(yè)骨干路由器 ASR1000系列 ASR 1001-XASR1002-XASR 1006ASR 1013ASR 1004ASR1000統(tǒng)一網(wǎng)絡(luò)業(yè)務(wù)處理架構(gòu)Cisco統(tǒng)一網(wǎng)絡(luò)處理架構(gòu)Unified Network Processing單臺(tái)機(jī)器聚合多種業(yè)務(wù)統(tǒng)一的網(wǎng)絡(luò)處理資源集中式轉(zhuǎn)發(fā)，升級(jí)僅需在線更換一塊ESP轉(zhuǎn)發(fā)引擎即可支持ONE-PK/SDN 的開(kāi)放式架構(gòu)傳統(tǒng)廣域網(wǎng)架構(gòu)占用大量機(jī)架及供電資源

8、多個(gè)獨(dú)立的設(shè)備串聯(lián)， 出現(xiàn)故障后，排錯(cuò)難升級(jí)擴(kuò)容難： 整個(gè)廣域網(wǎng)受單個(gè)設(shè)備性能限制， 而當(dāng)廣域網(wǎng)帶寬升級(jí)后，用戶面臨將整個(gè)鏈路上的設(shè)備進(jìn)行擴(kuò)容。 ASR：Aggregation（聚合）+ Services（業(yè)務(wù)）+ Router（路由器）ASR1K/ISR 技術(shù)創(chuàng)新20142015PfROTV、LISPWAASBFDGRE/GET VPNNAT/FWISG基于性能的負(fù)載均衡(PfR)云計(jì)算數(shù)據(jù)中心互聯(lián)-Workload Mobility廣域網(wǎng)優(yōu)化MSTP線路快速探測(cè)GRE/鏈路安全保護(hù) 安全防火墻 智能服務(wù)網(wǎng)關(guān)應(yīng)用識(shí)別和控制AVCVisibilitySCALEINTELLIGENCE快速收斂-

9、高可靠性HA+IP FRRNew!ASR1000 OTV 數(shù)據(jù)中心互聯(lián) 虛擬化數(shù)據(jù)中心的互聯(lián)技術(shù) OTV-全新數(shù)據(jù)中心互聯(lián)技術(shù)數(shù)據(jù)中心間的以太網(wǎng)流量封裝在IP包中 “MAC in IP”Control plane和data plane分離基于ISIS協(xié)議形成 MAC 路由表基于包交換OTV (Overlay Transport Virtualization) 一瞥Communication between MAC1 (site 1) and MAC2 (site 2)Server 1MAC 1Server 2MAC 2OTVOTVMACIFMAC1Eth1MAC2IP BMAC3IP BIP

10、AIP BEncapDecapMAC1 MAC2IP A IP BMAC1 MAC2MAC1 MAC2ASR1000災(zāi)備數(shù)據(jù)中心互聯(lián) (OTV)基于IP網(wǎng)絡(luò)的2層VPN互聯(lián)，數(shù)據(jù)封裝在IP網(wǎng)絡(luò)中傳輸（MAC in IP）免除了基于MPLS的各種復(fù)雜技術(shù)(VPLS/EoMPLS)控制層與轉(zhuǎn)發(fā)層面分離基于ISIS協(xié)議形成 MAC 路由表Server 1MAC 1Server 2MAC 2OTVOTVMACIFMAC1Eth1MAC2IP BMAC3IP BIP AIP BEncapDecapMAC1 MAC2IP A IP BMAC1 MAC2MAC1 MAC2GETVPN+OTV可以實(shí)現(xiàn)生產(chǎn)數(shù)據(jù)

11、的安全傳輸和異地災(zāi)備功能L2 Links (GE or 10GE)L3 Links (GE or 10GE)VM= 10.10.10.1Default GW = 10.10.10.100LISP-多數(shù)據(jù)中心的虛擬化技術(shù)實(shí)現(xiàn) Ingress Routing Optimization with LISPLayer 3 CoreIntranetISP AISP BAccessAggAccessAggDC ADC BVLAN APublic NetworkPrefixRoute Locator10.10.10.1A, B10.10.10.2A, B10.10.10.5C, D10.10.10.6C,

12、DIngress Tunnel IP_DA= AIP_DA = 10.10.10.1C, D A BDecap 3 D CEncap 2IP_DA = 10.10.10.1IP_DA 10.10.10.1 1IP_DA= DIP_DA = 10.10.10.1Decap 3IP_DA = 10.10.10.1LISP-虛擬化環(huán)境下網(wǎng)絡(luò)創(chuàng)新 Location ID/Separation Protocol (LISP) Enabling Global Workload Mobility for the Cloud優(yōu)勢(shì):滿足虛擬機(jī)遷移額負(fù)載分擔(dān) 滿足網(wǎng)絡(luò)擴(kuò)展和多租戶的虛擬化要求 Cisco NX-O

13、S: Delivering Location Independence with OTV and LISPAvailableNOW特點(diǎn):IP 地址的靈活自動(dòng)部署和發(fā)現(xiàn)IPv4/ IPv6 支持和封裝IP address and session move with VMLISP 技術(shù)可以精確定位虛機(jī)在遷移過(guò)程中的準(zhǔn)確位置 IP address AIP address A關(guān)鍵業(yè)務(wù)安全保護(hù)Updated: Feb-20-2013ASR1000 Integrated PE FirewallDual Stack (IPv4/v6) Firewall and Crypto SolutionsSecure

14、Access and Thread Defense End to End Solution with ISRG2 and ASR1KProblem Statement / Customer NeedsScale and Key Functions Cisco Proof PointsIPv4 address depletionTransport DiversityPE integrated FirewallResiliency and AvailabilityIPv6 NAT to address IPv4 address run outSupport Firewall for IP to M

15、PLS and MPLS to IP8K VRFs and 16K Pseudo-WiresSupport Firewall HA (Intra/Inter Chassis), ISSU and Asymmetric RoutingHigh-speed Flexible Netflow (version 9) loggingESP100: 100G BW, 58 Mpps, 29G Crypto, Support 6 M Sessions (3M FW + 3M NAT). Support NAT44 & NAT64Supports VRF Inter & Intra-chassis and

16、VASI within Chassis (IPv4 and IPv6 FW) IP/MPLS CoreMP-BGPMP-BGPMP-BGPEIGRPOSPFRIPeBGPFEGESTM1/STM4T1/E1ASR1000 Integrated Secure WAN ConnectivityLarge Scale Hub-Spoke with dynamic spoke-to-spokeProven Technology deployed worldwideAbility to apply customized routing, ACL, QoS on a group of SpokesLate

17、st IKEv2 ProtocolScale up to 4000 SitesSuite-B SupportPublic Internet TransportHub-Spoke, Spoke-SpokeDMVPNFlexible for site-to-site and remote-access VPNsCentralized Policy Management with AAAFlexibility to define routing, ACL, QoS per branchLatest IKEv2 Protocol3rd Party CompatibleScale up to 4000

18、SitesSuite-B SupportConverged Site to Site and Remote AccessFlexVPNMost scalable site to site solution Tunneless Any-to-Any EncryptionNo overlay routingNative Multicast Support4000 Group Members per Key ServerKey Server high availability using COOPPrivate IP TransportAny-to-Any ConnectivityGETVPNMPL

19、SVPNInternetISRISR/ASRASRHQDMVPN, FlexVPN, GETVPNDMVPN, FlexVPNGET VPNSuite-B is supported on ASR1002-X, ESP100 and ESP200高可靠性Updated: Feb-20-2013IOS XE 平臺(tái)抽象層IOS模塊化結(jié)構(gòu),相對(duì)于原有的IOS操作系統(tǒng), 提高了整機(jī)的可靠性使得IOS可以運(yùn)行在多種平臺(tái)上， 中間件結(jié)構(gòu)使轉(zhuǎn)發(fā)平面可以選擇多種功能的芯片(交換機(jī)和路由器共享架構(gòu))平臺(tái)抽象層可以使得新平臺(tái)的開(kāi)發(fā)速度加快并保證全系列產(chǎn)品功能和行為一致操作一致性： 用戶使用IOS-XE和傳統(tǒng)的IOS

20、平臺(tái)沒(méi)有區(qū)別， 用戶接口完全一致ASR1000 IOS XE硬件轉(zhuǎn)發(fā)使用QFPIOS XE 平臺(tái)抽象層IOSCAT4500/3850 IOS XE硬件轉(zhuǎn)發(fā)使用交換芯片IOS XE 平臺(tái)抽象層IOSISR4400系列 IOS XE硬件轉(zhuǎn)發(fā)使用商用網(wǎng)絡(luò)處理器IOS XE 平臺(tái)抽象層IOSCSR1000V IOS XEIntel X86和虛擬化技術(shù)IOS-XE-Cisco針對(duì)下一代企業(yè)網(wǎng)基礎(chǔ)設(shè)施的核心操作系統(tǒng)ASR1000高可靠性靈活的系統(tǒng)冗余機(jī)制IOS XE(Linux Kernel)IOSActiveIOSStandby分支機(jī)構(gòu)路由器(ASR1002-X)采用單物理引擎使用虛擬化技術(shù)軟件實(shí)現(xiàn)雙引

21、擎冗余還可以在分支機(jī)構(gòu)雙出口環(huán)境實(shí)現(xiàn)雙機(jī)冗余降低了用戶在分支機(jī)構(gòu)側(cè)冗余部署成本, 并提高了可靠性核心路由器(ASR1006/ASR1013)采用雙路由控制引擎和雙轉(zhuǎn)發(fā)引擎的完全硬件冗余 應(yīng)用識(shí)別及可視化管控Updated: Feb-20-2013Use QoS or PfR to control application network usage to improve application performanceASR1KISR G2流量控制ControlHighMedLowAdvanced reporting tool aggregates and reports application

22、performanceApp Visibility & User Experience Report管理工具M(jìn)anagement ToolISR G2 & ASR collect application bandwidth and response time metrics, and export to management toolASR1KISR G2FNFIOS PAReporting Tool 性能收集和報(bào)表Perf. Collection & ExportingReporting ToolsNetflow v93AppBWTransaction TimeWebEx3 Mb150 ms

23、Citrix10 Mb500 msIdentify applications using L7 signatures (NBAR2) or metadataASR1KISR G2應(yīng)用識(shí)別ApplicationRecognition新一代企業(yè)網(wǎng)絡(luò)的可視化感知和管理 AVC :應(yīng)用層報(bào)文識(shí)別、呈現(xiàn)、控制、路徑優(yōu)化通過(guò)Netflow可以導(dǎo)出詳細(xì)的用戶訪問(wèn)及網(wǎng)絡(luò)質(zhì)量統(tǒng)計(jì)ASR1000應(yīng)用識(shí)別網(wǎng)絡(luò)性能可視化應(yīng)用服務(wù)器總延遲客戶機(jī)客戶端延遲服務(wù)器端延遲服務(wù)器響應(yīng)延遲網(wǎng)絡(luò)延遲廣域網(wǎng)鏈路RequestResponseNetflow導(dǎo)出URL和統(tǒng)計(jì)數(shù)據(jù)客戶端鏈路TTClientServerXSYNSYN-ACK

24、ACK 6 Request 1ACKDATA 4DATA 3DATA 5DATA 3Request 1 (Cont)XDATA 4DATA 1Request 2DATA 6DATA 2ACK 3 ACK SNDCNDRequestRetransmissionRTReponse基于應(yīng)用性能的負(fù)載均衡Updated: Feb-20-2013SP1 (MPLS)ISP (Internet)保護(hù)語(yǔ)音和視頻質(zhì)量低于150 ms延遲; 低于20 ms抖動(dòng)保護(hù)VDI 應(yīng)用在限電的情況下低于5%的隨時(shí)率語(yǔ)音和視頻首選路徑SP-AVDI手續(xù)按路徑SP-B增加負(fù)載分配的利用率多媒體和關(guān)鍵數(shù)據(jù)策略云服務(wù)混合IWAN最優(yōu)化傳輸檢測(cè)丟包率多于 10%ISP-1 (Cable)ISP-2 (DSL)語(yǔ)音和視頻雙因特網(wǎng)WAN檢測(cè)高抖動(dòng)VDI最優(yōu)化傳輸ASR1000基于性能的負(fù)載均衡（PfR）PfR性能路由可以做什么？保護(hù)關(guān)鍵應(yīng)用，增加帶寬利用率保護(hù)云應(yīng)用的限電損失率不到5%關(guān)鍵應(yīng)用的首選路徑: SP1 (MPLS)通過(guò)跨全WAN網(wǎng)路徑，MPLS和因特網(wǎng)的負(fù)載分配流量，來(lái)增加WAN網(wǎng)帶寬效率云服務(wù)和負(fù)載均衡策略解決線路不穩(wěn)問(wèn)題！服務(wù)模塊服務(wù)模塊性能提高 3